Abbiamo un server Linux con WHM / cPanel che è stato eseguito senza problemi per quasi 3 anni. Ieri, il server è diventato non rispondente (era sicuramente lì però) per circa un'ora. Poco dopo abbiamo ricevuto una e-mail che diceva che il nostro server è coinvolto in un netscan:
Mon Oct 8 03:30:24 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP 80
Mon Oct 8 02:57:16 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_2 80
Mon Oct 8 03:26:43 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80
Mon Oct 8 03:26:52 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80
Mon Oct 8 03:13:13 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_3 80
Mon Oct 8 03:13:15 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80
Mon Oct 8 03:21:23 2012 TCP MY_SERVER_IP_GOES_HERE 22 => SOME_IP_4 80
...
...
MANY LINES LATER
...
...
Mon Oct 8 02:45:11 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_1 1234
Mon Oct 8 03:19:43 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_2 1234
Mon Oct 8 03:24:00 2012 TCP MY_SERVER_IP_GOES_HERE 80 => SOME_OTHER_IP_3 1234
Il mio primo pensiero è che siamo stati compromessi, tuttavia dopo aver controllato i registri, le cronologie, i database, ecc. Non ne vedo alcuna indicazione. Ovviamente l'attaccante potrebbe aver coperto bene le loro tracce, ma a questo punto non vedo ragioni per credere altrimenti.
La mia domanda è: ci sono attacchi in cui un attacco può rimbalzare sul nostro server per colpire un altro server, rallentando così il nostro server ma non compromettendolo effettivamente? Se è così, come si chiamano così posso cercarli? Quindi sarebbe qualcosa di simile:
- L'attaccante invia una moltitudine di pacchetti al mio server.
- Il mio server riceve pacchetti sulle porte specificate (che sembrano 22 e 80). Il mio server analizza i pacchetti e dice "Questo pacchetto è pensato per SOME_IP sulla porta 80. Farò meglio a inoltrarli a loro"
- Il mio server inoltra i pacchetti.
Qualsiasi aiuto sarebbe molto apprezzato.